'Androidtelefoons versturen trackingcookies voordat gebruiker apps opent'
Androidtelefoons versturen tracking- en advertentiecookies en andere identifiers naar servers van Google voordat gebruikers zelfs hun eerste app geopend hebben. Dit gebeurt zonder toestemming van gebruikers en zonder de mogelijkheid van een opt-out, aldus Doug Leith, hoogleraar computersystemen van het Trinity College Dublin, op basis van eigen onderzoek (pdf).
De cookies en identifiers worden gedownload en verstuurd door Google Play Services, de Google Play store en andere vooraf geïnstalleerde Google-apps. Google vraagt hiervoor geen toestemming en laat ook niet weten waarom het dit doet, aldus Leith. Ook is het niet mogelijk voor gebruikers om zich hiervoor af te melden. "De meeste van deze data wordt opgeslagen wanneer het apparaat niets doet na een fabrieksreset en er geen Google-apps door de gebruiker zijn geopend", laat de hoogleraar weten.
"We weten allemaal dat toestemming is vereist voordat een website die we bezoeken advertentie- en trackingcookies mag plaatsen. Dezelfde EU "cookiewetgeving", de ePrivacy Verordening, geldt ook voor apps die op telefoons draaien. Cookies die door apps worden opgeslagen krijgen veel minder aandacht dan webcookies, voornamelijk omdat ze lastiger te detecteren zijn, en nader onderzoek naar ze had al lang moeten plaatsvinden", gaat Leith verder.
De hoogleraar merkt op dat Google Play Services en de Google Play Store op bijna elke Androidtelefoon vooraf geïnstalleerd zijn. "Dit onderzoek laat zien dat ze stilletjes advertentie- en andere trackingcookies op de telefoons van mensen plaatsen. Google vraagt hiervoor geen toestemming en er is geen manier om deze cookies te blokkeren."
De hoogleraar meldt in het rapport dat hij Google om een reactie heeft gevraagd. Het techbedrijf liet weten niet op de juridische aspecten te zullen reageren. Google liet ook niet weten of er fouten in het onderzoek zitten en reageerde niet op vragen over het aanpassen van de manier waarop Google-apps cookies opslaan. Google stelt in een verklaring tegenover The Register dat het zich niet in de juridische analyse van de hoogleraar kan vinden en dat het 'committed' is om zich aan privacywet- en regelgeving te houden.
Ik vind het overkomen alsof ze, net als Facebook altijd al deed, Europese wetgeving niet interpreteren naar de letter maar naar wat ze er zelf in willen lezen om hun eigen belangen ruim baan te geven. Dat suggereert, samen met bijvoorbeeld Manifest V3 in Chrome, dat het "don't be evil" dat Google ooit als lijfspreuk had nu echt duidelijk is omgeslagen in "be evil".
Ook irritant is dat telefoons komen met animaties van foto's van een jaar geleden onder het kopje "memories". Blijf met je tengels van mijn foto's af!
Of je op een server nu bijhoudt wie er iets download, of, dat je aan de client side bijhoudt wat er geïnstalleerd wordt.
De keuze uit die twee doet mij zomaar vermoeden dat dit statistisch onderzoek is naar schadelijke apps betreft.
Ik maak mij eerder zorgen over een Revolut app die microfoon permissie vereist
...of jou anders geen access tot jouw account geeft...
...of jou anders geen access tot jouw account geeft...
Daarom ook altijd een firewall gebruiken. Al geef je enkel de applicaties die je gebruikt toestemming (al het andere blokkeer je dus, hier heb je echt geen ict-achtergrond voor nodig) is dat al veel winst. Er is een fijne firewall van onze eigen bodem.
Of je op een server nu bijhoudt wie er iets download, of, dat je aan de client side bijhoudt wat er geïnstalleerd wordt.
De keuze uit die twee doet mij zomaar vermoeden dat dit statistisch onderzoek is naar schadelijke apps betreft.
Ik maak mij eerder zorgen over een Revolut app die microfoon permissie vereist
...of jou anders geen access tot jouw account geeft...
Daarmee is enig argument ook klaar tot de wetgeving is aangepast.
Google weet dondersgoed dat ze momenteel geen poot hebben om op te staan juridisch. Daarom wordt er geen toelichting op dat gebied gegeven omdat het anders als bewijsvoering kan dienen later tegen hunzelf. Maar een zaak tegen Google gaat jaren in beslag weer nemen en daar banken ze op in hoop dat de wetgeving in tussen versoepelt raakt zodat het achteraf wel mag.
Om dit soort taktieken zou er een zero tolerance policy moeten worden ingevoerd.
eerste overtreding 2% jaarlijkse inkomsten in land van ovetreding met verdubbeling bij elke overtreding.
Dan houdt het vanzelf razendsnel op. Je mag zelf raden waarom dit nooit gaat gebeuren.
TrackerControl (TC)
TrackerControl allows to monitor and control hidden data collection in apps
https://f-droid.org/en/packages/net.kollnig.missioncontrol.fdroid/
Om tracking te detecteren, combineert TrackerControl de kracht van de Disconnect blocklist, die door Mozilla Firefox wordt gebruikt, en van de interne blocklist van de Universiteit van Oxford, gemaakt op basis van het analyseren van ~2.000.000 apps. Daarnaast ondersteunt TrackerControl aangepaste blokkadelijsten en gebruikt het de handtekeningen van Exodus Privacy voor de analyse van trackerbibliotheken binnen app-code. Deze aanpak onthult de bedrijven achter tracking, maakt het mogelijk om tracking selectief te blokkeren, en de doeleinden van tracking bloot te leggen.
https://trackercontrol.org
...of jou anders geen access tot jouw account geeft...
Daarom ook altijd een firewall gebruiken. Al geef je enkel de applicaties die je gebruikt toestemming (al het andere blokkeer je dus, hier heb je echt geen ict-achtergrond voor nodig) is dat al veel winst. Er is een fijne firewall van onze eigen bodem.
En welke firewall van eigen bodem is dat?
Never!
...of jou anders geen access tot jouw account geeft...
Daarom ook altijd een firewall gebruiken. Al geef je enkel de applicaties die je gebruikt toestemming (al het andere blokkeer je dus, hier heb je echt geen ict-achtergrond voor nodig) is dat al veel winst. Er is een fijne firewall van onze eigen bodem.
Heb je een standaard profiel aangemaakt? Wat sta je van wat toe qua UDP, TCP connecties en waarom gaat het verkeer mogelijk ineens over andere IP dan eerste allows? Heb je de IP reputaties en geschiedenis bekeken en of deze overeenkomen met wat de leverancier van een stuk software zegt?
Of vertrouw je blind erop dat het wel zijn werk doet en niet rare connecties toelaat of veilige blokkeert? Net als zo vele mensen doen met een malware scanner en bij enige infectie melding ook nog denken dat de cleanup functie wel genoeg is voor het oplossen van de malware problemen zonder een grondige audit. (it is not)
Wordt echt veel te makkelijk gedacht over IT door sommige mensen.
TrackerControl (TC)
TrackerControl allows to monitor and control hidden data collection in apps
https://f-droid.org/en/packages/net.kollnig.missioncontrol.fdroid/
Om tracking te detecteren, combineert TrackerControl de kracht van de Disconnect blocklist, die door Mozilla Firefox wordt gebruikt, en van de interne blocklist van de Universiteit van Oxford, gemaakt op basis van het analyseren van ~2.000.000 apps. Daarnaast ondersteunt TrackerControl aangepaste blokkadelijsten en gebruikt het de handtekeningen van Exodus Privacy voor de analyse van trackerbibliotheken binnen app-code. Deze aanpak onthult de bedrijven achter tracking, maakt het mogelijk om tracking selectief te blokkeren, en de doeleinden van tracking bloot te leggen.
https://trackercontrol.org
Als meer mensen dat doen, is dat hopelijk aanleiding voor de beste mensen daar om dit uit te zoeken en er werk van te maken (en - forse - boetes op te leggen, als er idd sprake is van schending van de regels).
PCAPdroid
No-root network monitor and traffic dump tool for Android devices
https://f-droid.org/en/packages/com.emanuelef.remote_capture/
PCAPdroid is een goede netwerk monitor voor gevorderden. TrackerControl is voor de beginner eenvoudiger in gebruik.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Help organisaties cyberweerbaar maken en werk aan uitdagende securityprojecten bij BMGRIP, part of Kader Group.
- Hybride werken
- Salaris €4.000 - €5.500
- Leaseauto en volop groeimogelijkheden
Solliciteer nu!
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?